主流软件即服务（SaaS）订阅

协议 （“本协议”）

本普瑞维兰软件即服务（SaaS）订阅协议（"协议"）构成普瑞维兰有限责任公司（Prevalent, LLC）与客户（"客户"）之间的法律协议。普瑞维兰系米特雷科技控股公司（Mitratech Holdings, Inc.）旗下子公司，系特拉华州注册企业，主要营业地点位于德克萨斯州比凯夫市加勒里亚环路13301号B栋200室（邮编78738）（"普瑞维兰"）。本协议自普瑞维兰根据协议条款接受订单之日起生效。 本协议自Prevalent根据下述条款接受订单之日起生效。

鉴于，Prevalent将向客户提供的软件应用程序及/或特定监控服务，作为Prevalent销售报价单或经授权的Prevalent经销商销售报价单中所述Prevalent云服务产品的一部分。此外，客户可另行支付费用获取特定附加服务（具体费用以相关Prevalent销售报价单为准），本协议中上述服务可统称或分别称为"服务"。 为明确起见，双方确认服务包含软件应用程序，以及经授权自各第三方数据提供商获取并纳入服务范围的第三方数据，所有内容均受本协议条款约束。本协议中服务与软件可统称为"软件"。就所有服务而言，Prevalent的履约以客户履行本协议规定义务或后续书面明确同意的义务为前提。 本协议条款将优先于任何许可协议、使用条款、点击同意条款、预包装软件条款、采购订单、发票条款或其他类似文件中的条款，无论该等文件签署时间早于或晚于本书面协议生效。

现， 因此，基于有效且有价值的对价（其收讫及充分性特此确认），双方同意如下：

定义： 本协议中引用的术语具有以下含义：

“普瑞云服务”指在普瑞云服务环境上运行、并由普瑞根据本协议条款商业提供的特定服务。

“普瑞云服务环境”指由普瑞公司拥有、授权、订阅或管理的硬件与软件组合，普瑞公司向客户及用户授予访问该环境部分区域的权限，作为普瑞销售报价单或普瑞经销商销售报价单中所述普瑞云服务的一部分。

"Prevalent授权经销商"系经Prevalent授权向客户提供的实体，其提供Prevalent服务须遵循本协议条款。

“普瑞莱特经销商报价”指普瑞莱特经销商根据本协议向客户提供的、关于销售特定普瑞莱特产品及服务的正式要约。

《普瑞兰销售报价单》是普瑞兰根据本协议就特定产品及服务作出的正式销售要约，该要约自客户签署之日起生效。

《普瑞兰软件服务说明》是普瑞兰对商业服务产品所作的正式说明，界定了该服务的范围与覆盖内容，该说明在普瑞兰销售报价单或普瑞兰经销商销售报价单中予以引用，并作为附件B附于本协议之后。

“服务”指在Prevalent销售报价单或Prevalent经销商销售报价单中引用的Prevalent软件服务说明中所述的Prevalent云服务、专业服务及软件的统称。

“软件”指由Prevalent开发和/或分发的应用软件，具体内容详见Prevalent销售报价单或Prevalent经销商销售报价单，并遵循Prevalent软件服务说明中的描述。

“客户”指上述所列客户。

“客户数据”指客户或潜在供应商上传、提交或通过服务传输至服务平台的任何数据、内容、代码、视频、图像、问卷或其他类型材料；(ii) Prevalent或服务基于客户或潜在供应商提交或代其提交的数据、内容、代码、视频、图像、问卷或其他材料所生成的报告及文件。

“用户”指经客户授权，根据本协议使用服务的员工、承包商及最终用户（如适用）。对于专门设计用于允许客户的客户、供应商或其他第三方访问服务并与客户进行交互的服务，此类第三方将被视为受本协议条款约束的“用户”。

“第三方数据”指由公共来源或第三方许可供应商提供的、用于配合本服务使用的数据源，例如供应商威胁监控数据或Prevalent经销商销售报价。

第一条 软件即服务（“SaaS”）最终用户许可协议

1.1 SaaS最终用户许可。本软件提供功能如印刷版Prevalent软件服务说明及产品文档（附件B）所载明。本软件（含任何预存数据）均为Prevalent及其供应商的专有财产，Prevalent保留对本软件（包括所有副本、改进、增强、修改及衍生作品）的全部权利、所有权及利益。 客户接受并同意受本协议条款约束。本协议签署后，若与任何点击式协议或点击通过条款存在冲突，以本协议为准。

1.2. 第三方数据许可。本软件包含对各类机密及专有第三方数据的访问权限，该数据与服务协同运作，作为比较数据源用于处理客户数据并生成各类报告及报告数据。此类信息汇编自第三方来源，包括但不限于公共记录、用户提交内容及其他商业可获取的数据源。 这些来源可能存在不准确、不完整或未及时更新的情况，且可能持续变更而无需另行通知。Prevalent及其第三方数据来源均不对数据作出任何陈述或保证，亦不承担数据准确性、完整性或时效性的责任，亦不对客户基于全部或部分此类数据或信息所作出的任何决策承担责任。 此类数据及信息不能替代客户自身的判断、专业建议或决策前的补充调研，不应作为独立决策依据。客户仅可将第三方数据用于当前或潜在的信用、安全、财务或风险管理决策，且仅限于与客户查询相关的商业供应商。 此外，客户确认第三方数据：(i) 不得用于判定个人、家庭或户主获取信贷或保险的资格；(ii) 不得用于雇佣目的（但可用于评估独立顾问供应商资质）；(iii) 不得用于《公平信用报告法》管辖的任何其他用途。 客户须遵守所有适用法律方可继续使用第三方数据。Prevalent的第三方数据提供商应被视为本协议的第三方受益人，但仅限于其提供的第三方数据范围。 Prevalent进一步声明将采取合理商业努力：(i) 确保第三方数据在选定用于本服务前符合适用性要求；(ii) 及时从服务中移除被认定为不准确的第三方数据；(iii) 及时向客户通报已知或可疑的第三方数据问题及/或风险。

1.3. 软件许可授予。除非双方另有书面约定，且在客户遵守本协议条款的前提下，Prevalent授予客户一项非独占、不可转让的权利，允许客户在本许可期限内仅在其内部业务运营中访问和使用软件。 客户享有以下权利：(i) 依据本协议下文规定的服务范围及期限，在Prevalent云服务环境中使用软件（该环境作为服务提供）；(ii) 为客户内部使用生成报告。 为明确起见，任何第三方均不得以任何形式依赖本服务提供或生成的报告、结果、建议等工作成果，所有工作成果仅为客户利益提供信息参考。客户使用本服务的权利仅限于本协议明确授予的范围。 未明确授予客户的权利均由普瑞维特保留。本服务受版权法、商业秘密法以及其他形式知识产权相关法律法规和/或条约保护。普瑞维特拥有本服务中所有知识产权或必要权利。使用本服务的权利受上述权利及本协议所有条款约束。 客户仅获授予非独占、不可转让的权利，可在Prevalent销售报价中指定的期限内，仅于托管的Prevalent云服务环境中使用本服务及相关用户文档，且不获得此类材料的任何所有权； 且仅可在"按现状"且无任何明示或暗示担保的前提下，将服务期内生成的报告及文件用于客户内部历史存档及合规目的。所有材料、报告及文件均应依据第2.6条作为保密信息处理，此义务不受本协议终止或到期影响。

a) 客户授予Prevalent在服务期内及任何额外终止后期间（该期间内Prevalent仍为客户提供访问权限以检索客户内容的导出文件，且不得超过60天）使用、处理、收集、复制、存储、传输、修改客户数据并创建其衍生作品的权利，但仅限于为根据本协议向客户提供适用服务所必需的范围。 本协议授予的许可仅适用于关联Prevalent销售报价中规定的用户ID数量或容量（即供应商数量等），且仅在Prevalent销售报价所述期限完全有效期间内有效； 若客户终止或停止使用Prevalent托管的云服务环境，本许可及客户使用服务的权利将自动终止，无需另行通知。Prevalent仅在履行本协议义务或执行常规内部备份及/或灾难恢复流程时，方可复制客户数据。 客户应采取合理措施（包括限制用户ID及密码访问权限），确保仅授权员工可访问软件。除普瑞文特存在过失、故意不当行为或违反本协议义务外，客户须对使用其账户及密码实施的任何行为承担全部责任，并承诺在发现或合理怀疑存在未经授权使用时立即通知普瑞文特。

b) 客户同意不使用或允许使用本服务（包括通过上传、电子邮件发送、发布、公开或其他方式传输任何材料，包括客户数据、服务生成的成果或报告，或第三方内容）从事以下任何目的：(a) 威胁或骚扰任何人，或对任何人或财产造成损害或伤害； (b) 涉及发布明知虚假、诽谤性、骚扰性或淫秽的材料；(c) 侵犯隐私权或鼓吹偏执、种族主义、仇恨或伤害；(d) 构成未经请求的大量邮件、"垃圾邮件"、"垃圾信息"或连锁信； (e) 构成对知识产权或其他专有权利的侵犯；(f) 除客户自有内联网或仅用于其内部用途外，对服务内容进行框架嵌套、内容抓取、链接或镜像； (g) 故意向本服务上传或利用本服务发送、存储病毒、蠕虫、定时炸弹、特洛伊木马或其他有害或恶意代码；(h) 以其他方式违反适用法律、法规或条例。 除本协议赋予Prevalent的其他权利外，若任何材料违反上述限制，Prevalent保留采取补救措施的权利（但无义务），包括移除或禁用对该材料的访问权限。 Prevalent 采取此类行动时，对客户不承担任何责任。客户应对其所有客户数据的准确性、质量、完整性、合法性、可靠性、适当性和所有权承担全部责任。

1.4. 转让、使用、修改及复制限制。未经Prevalent事先书面同意，客户不得实施、导致或允许以下行为：(i) 除本协议明确规定外，使用、复制、修改、出租、租赁、转租、转授权或转让服务； (ii) 基于本服务或其随附文档（包括但不限于翻译版本）创作任何衍生作品；(iii) 修改本服务任何部分的文件或库文件，或复制数据库部分内容，或创建与数据库部分相关的任何表格或报告； (iv) 对服务进行反向工程、反汇编或反编译；(v) 将服务用于服务局、设施管理、分时共享、服务提供商或类似活动，即客户为第三方利益运营或使用服务； (vi) 除客户及其分包商、代理商（须代表客户行事并遵守本协议条款）外，任何第三方使用本服务（包括服务生成的任何数据、信息或报告）；或(vii) 虚假暗示与Prevalent存在任何赞助或关联关系。违反本条款将导致本协议立即终止，且此终止不排除其他可用的救济措施。

a) 除用于培训、翻译、客户内部备份、运营支持或内部分发外，客户不得复制或允许他人复制服务所附用户文档或其他印刷材料的任何部分。

1.5. 安全性。Prevalent实施安全程序以帮助保护客户数据免受安全攻击。 然而，在Prevalent采取合理措施保障传输中客户数据安全的前提下，客户理解使用本服务必然涉及通过非Prevalent所有、运营或控制的网络传输客户数据，对于该等网络中发生的客户数据丢失、篡改、拦截或存储，除因Prevalent过失或故意不当行为导致的情况外，我们概不负责。 尽管有上述规定，Prevalent确认并保证：其已建立并将在本协议有效期内持续维护适当的技术和组织措施，以防范客户数据遭受意外、未经授权或非法处理、破坏、丢失、损坏或泄露；同时实施充分的安全程序和措施，确保未经授权的个人或方无法接触处理此类信息或数据的任何设备。 Prevalent同时承诺：(i) 使用业内公认的检测软件扫描服务系统，排查任何旨在破坏计算机或数据库运行、阻碍程序或数据访问及操作的代码或装置； (ii) 依据行业公认标准保障其计算环境安全，确保服务不受任何未经授权人员或恶意软件访问；(iii) 及时修复并通知客户任何已知或合理怀疑存在的安全漏洞。

1.6. 客户数据的赔偿责任。客户应对其在使用服务过程中上传或提供的任何信息承担全部责任，包括但不限于确保使用服务存储、处理及传输客户数据的行为符合所有适用法律法规。 在任何情况下，Prevalent均不对客户因使用本服务而上传或提供的信息之使用或丢失承担责任，除非该损失系由Prevalent的过失或故意不当行为造成。 客户应就因违反本协议不当使用客户数据所引发或相关的任何索赔（包括但不限于Prevalent因此承担责任的索赔）所导致的损失、成本、损害（含律师费）对Prevalent进行抗辩、赔偿并使其免受损害，包括但不限于： 责任或损害（包括律师费），这些损失、成本或损害源于或与任何索赔有关，该索赔涉及客户不当使用客户数据违反本协议，包括但不限于任何第三方提出的索赔，指称客户数据或客户违反本协议使用服务侵犯或盗用第三方知识产权或违反适用法律。 除非且仅当客户数据的删除、修改、毁损、损坏、丢失或存储失败系由Prevalent的行为或不作为直接且近因导致，且符合本协议规定的限制条款，否则Prevalent对客户数据的上述情形不承担任何责任。

1.7. 法律合规。客户必须确保其对服务及所有客户数据的使用始终符合适用的地方、州、联邦及国际法律法规（"法律"），但因服务或Prevalent所致的合规失当不应视为违反前述条款。 客户声明并保证：(i) 已取得向Prevalent提供所有客户数据及授予Prevalent本协议所载权利所需的一切必要权利、授权及许可； (ii) 客户数据及其根据本协议授权Prevalent进行的传输和使用，不违反任何法律（包括但不限于出口管制和电子通信相关法规）或任何第三方权利（包括但不限于知识产权、隐私权或公开权），且本协议授权的任何使用、收集和披露行为均不与任何适用隐私政策的条款相冲突。 除本协议或Prevalent隐私政策（http://www.prevalent.net/ethics-and-privacy）规定的安全保密义务、过失或故意不当行为外，Prevalent对客户数据不承担任何责任，客户应独自承担客户数据及其使用、披露、存储或传输后果的全部责任。

1.8. 订阅期限。本协议项下提供的服务期限以Prevalent销售报价或Prevalent经销商销售报价中定义的服务期为准，除非根据本协议或Prevalent销售报价或Prevalent经销商销售报价提前暂停或终止（"初始订阅期限"）。 初始订阅期届满后，销售报价或Prevalent经销商销售报价所载软件及/或服务将自动续订，后续订阅期与初始订阅期相同（"续订订阅期"，与初始订阅期合称"订阅期"）， 统称为"订阅期限")，除非且直至任一方在当前订阅期限届满前至少三十(30)天向另一方发出书面终止意向通知。

1.9. 有限保修。Prevalent向客户声明并保证，本服务将实质性符合作为附件B随附的Prevalent软件服务说明。 若发生违约，客户应立即以书面形式通知Prevalent存在不符合情况，Prevalent将采取合理商业努力修复服务，使其符合《Prevalent软件服务说明》及附件A所载《服务等级协议》的要求。客户针对本保证违约的唯一补救措施是要求Prevalent纠正或规避所报告的故障。 若故障持续导致客户服务生产实例出现重大故障，且在向Prevalent发出书面保修索赔通知后四十五 （45）天后仍未获得修正或替代方案，则客户可终止服务且无需承担终止服务剩余部分的责任，并获得所有预付但尚未交付服务的退款，此为客户的唯一补救措施。 本服务所附有限保修仅授予客户本人，不可转让。此项补救措施构成Prevalent的唯一义务及客户的独家救济途径，即使该补救措施未能实现其基本目的时亦然。

1.10. Prevalent不保证本软件能满足客户需求或在客户特定使用条件下运行。除本协议另有明确规定外，Prevalent不保证服务运行将完全安全、无错误或无中断。 除本协议明确规定或Prevalent另行书面同意外，Prevalent不作任何明示或默示、事实或法律上的保证，包括但不限于： 除本协议另有规定外，不作任何关于适销性或特定用途适用性的默示担保。客户须自行判断本服务是否充分满足其对安全性及持续性的要求。 除因普瑞维安违反本协议安全或服务级别义务所致情形外，因服务未能满足客户要求而产生的任何损失，客户应独自承担全部责任。 除因任一方重大过失或故意不当行为，或本协议项下服务级别义务所致的情况外， Prevant在任何情况下均不对客户计算机或信息存储设备上的数据丢失承担责任。 此外，客户确认并同意：(A) 本服务不构成任何形式的法律建议或法律服务； (B) 本服务无法确保客户完全符合所有适用的行业法规及法律；以及 (C) 客户须独自承担遵守适用法律法规的责任。

1.11. 赔偿。除基于客户数据或第三方数据的诉讼外，Prevalent应承担费用为客户辩护，应对任何第三方针对客户提出的索赔、要求、诉讼或程序（"索赔"），该索赔指称客户依据本协议使用服务的行为侵犯了第三方专利、版权、商标或其他知识产权，或窃取了该第三方的商业秘密。 此外，Prevalent应就因该等索赔产生或与之相关的所有费用（包括合理律师费）向客户进行赔偿并使其免受损害。收到索赔通知后，客户应：(a) 立即以书面形式将索赔情况通知Prevalent； (b) 将该索赔的抗辩及和解事宜全权交由Prevalent处理（但Prevalent不得在未无条件免除客户全部责任且未将任何过错或共同过失归咎于客户的前提下进行和解或抗辩）；(c) 向Prevalent提供合理协助（相关费用由Prevalent承担），以支持该索赔的抗辩或和解工作。 除上述义务外，Prevalent可自行承担费用：(a) 确保客户继续使用软件的权利；(b) 修改软件使其不构成侵权；或(c) 向客户提供功能等同且不侵权的替代品。 若上述方案均不可行，客户可选择将软件退还Prevalent，Prevalent将按直线折旧法退还当前订阅周期已付费用的比例金额。本第1.10条规定了Prevalent在本协议项下知识产权侵权索赔的全部责任及客户的独家救济方式。

1.12. 客户授予反馈使用许可。客户授予Prevalent一项全球性、永久性、不可撤销、免版税的许可，允许其使用并整合客户或用户就服务运营提出的任何建议、功能改进请求、推荐意见、修正方案或其他反馈，但须以匿名形式呈现，不得标注客户身份或署名。

2. 一般条款与条件

2.1. 服务与条款的更新/变更——鉴于技术与市场环境的变化，Prevalent可不时对构成客户Prevalent服务的产品或服务（包括但不限于终止某项组件）进行修改，并将尽商业上合理的努力通知客户任何重大变更。 此类修改不应被视为违反软件保修条款，客户同意Prevalent对此类修改不承担任何责任。Prevalent保留在客户当前订阅期结束时终止提供其Prevalent服务的权利。同样，Prevalent保留定期更新、修订或变更本条款的权利。 更新或修订后的条款生效前至少30天，Prevalent将通过电子邮件通知客户相关变更，并于https://mitratech.com/legal-notice/prevalent-terms-of-use/发布新版条款文件。客户在30天后继续使用服务即视为同意变更后的条款。

2.2. 费用、发票与付款。在根据协议履行服务的前提下，客户应向Prevalent或Prevalent经销商支付Prevalent销售报价单或Prevalent经销商销售报价单中规定的服务费用（以下简称"费用"）。费用包含与服务相关的所有收费，包括所有附带成本，但税费及开支除外。 Prevalent应按Prevalent销售报价单或Prevalent经销商销售报价单规定的付款周期提交服务发票。客户须在收到发票后30日内支付所有款项；逾期未付且非基于善意争议的未结余额，将按月计收1.5%的利息。 若客户在Prevalent或Prevalent经销商发出逾期付款通知后三十（30）个工作日内仍未支付所有发票或依据本条款产生的费用，除Prevalent可采取的其他补救措施外，Prevalent有权暂停或终止客户对服务的访问及使用权限。 在每个订阅期届满时，Prevalent可通过至少提前30天向客户发出书面通知，每年提高或调整费用（"年度费用调整"）。

2.3. 升级。若客户在订阅期内选择升级服务或增加授权用户数量（"订阅升级"），由此产生的任何增量订阅费用将按比例分摊至客户当前订阅期剩余时长，并在实施订阅升级时到期应付。 在任何后续订阅期内，若客户选择降级服务方案，则订阅费用及其他费用或款项均不予退还或抵扣。

2.4. 费用。差旅及相关费用不包含在Prevalent销售报价单或Prevalent经销商销售报价单所列的服务安装与配置范围内。 Prevalent或Prevalent经销商将根据本协议规定，就已发生的费用获得报销。相关费用须在发票中逐项列明，并附有充分的证明文件。除非事先另有约定，所有费用均应在Prevalent或Prevalent经销商发生费用后，且客户事先书面批准报销后，以事后结算方式开具发票。

2.5. 公平救济。客户承认，任何违反本协议条款使用或披露软件的行为，或任何保密义务的违背，可能对Prevalent或Prevalent经销商造成无法弥补的损害，其他救济措施可能不足以弥补此类损害。客户同意不反对Prevalent或Prevalent经销商向有管辖权的法院申请禁令或其他公平救济，以制止此类使用或披露行为。 客户特此放弃要求Prevalent或Prevalent经销商在获得任何禁令救济前提下提供担保或其他形式保证的权利。

2.6. 可分割性。若本协议的任何条款被认定为无效或不可执行，本协议其余条款仍应保持完全效力。若任何明示或默示限制条款因适用法律限制而无法实施，该等明示或默示限制条款应在适用法律允许的最大范围内继续有效。

2.7. 保密信息。"保密信息"指一方根据本协议向另一方披露的、被标识为保密或专有的任何信息。 保密信息不包括以下情形：接收方在未违反保密义务的前提下合法获取的信息；因接收方行为或疏忽以外的原因已公开或成为公开信息；接收方在未使用保密信息的情况下独立开发的信息；或因响应有效的法院或政府命令而披露的信息（前提是接收方已通知披露方并协助提出异议）。 接收方仅可为本协议规定之目的使用保密信息，并应以与自身同类信息同等程度的谨慎对待该信息，且该谨慎程度不得低于合理标准。本条款不影响双方之间任何其他保密披露协议。双方同意，本协议终止或到期时，应根据要求立即返还或销毁所接收的任何保密信息。

2.8. 责任限制。除客户违反付款义务、因任一方重大过失或故意不当行为导致的情况，或违反本协议授予的赔偿条款外，双方因本协议引起或与之相关的索赔（无论基于违约或侵权）所承担的对对方累计责任，均以向客户收取的服务费用为限。 除重大过失、故意不当行为或违反赔偿义务外，任何一方均不对因本协议产生的间接、惩罚性、特殊、附带或后果性损害承担责任（包括但不限于 业务损失、收入损失、利润损失、商誉损失、 使用、数据或其他经济利益损失），无论其如何产生，无论是违约、违反担保还是侵权（包括过失），即使该方事先已被告知或合理预见到此类损害的可能性。 即使上述任何排他性补救措施未能实现其基本目的，损害赔偿责任仍将受到限制和排除。

2.9. 背景调查

a) 在法律允许及要求的情况下，接触客户数据的Prevalent员工及分包商必须通过背景调查，该调查可由Prevalent或经Prevalent授权的承包商执行。 若由Prevalent执行背景调查，则应客户要求，Prevalent将提供证明文件，确认已对所有涉及客户数据访问权限的现有Prevalent员工进行背景筛查——筛查时间点为员工入职Prevalent之时，或其参与向客户提供服务之前的某个后续时间点。根据本条款进行的背景筛查必须至少每七年（7）更新一次。

b) 本节规定的背景审查将依据适用的地方、州及联邦法律进行，且至少应包括以下内容：

i) 身份、国籍及社会保障号码的核验；

ii) 或多次重复定罪记录：需对雇员当前居住地所在县及先前居住地所在县（如适用）进行犯罪记录核查，以确认过去七年内是否存在重罪定罪；不利结果可能包括过去七年内因与工作相关的犯罪行为（通常表现为暴力犯罪、欺诈犯罪、盗窃犯罪或毒品犯罪）而被判处重罪；以及

iii) 《爱国者法案》核查。

iv) 联邦搜索：

• • • 国家犯罪记录
    • 国际犯罪记录
    • 各州性犯罪者记录

v) 重罪：无追诉时效限制

• • • SSN 追踪
    • 信用报告（适用于双方共同认可的信任职位）
    • 机动车报告

vi) 观察与制裁：

• • • 被拒绝人员名单排除方名单
    • 联邦调查局最通缉恐怖分子名单美国食品药品监督管理局禁令名单
    • 特别指定国民及被封锁人员名单（包括美国财政部外国资产控制办公室）

c) 若未能通过背景审查或确有重罪定罪记录，必须在该员工参与服务提供前向客户报告。此外，若背景审查完成后出现任何确证的重罪定罪记录，或涉及非法毒品、暴力行为或违反受托责任的指控，必须在该员工继续参与服务提供前向客户报告。

2.10. 人员聘用。在相关服务完成后一年内，客户不得招募Prevalent指派的任何人员执行服务，包括为招聘目的主动联系个人，但不包括任何职位的一般性广告或其他面向公众且非定向的沟通。

2.11. 终止：

a) 构成终止的事件。若违约方在收到非违约方书面通知（该通知应具体指明违约行为）后三十（30）日内未能纠正任何违约行为，则任一方均可终止本协议。

b) 终止后的义务。本协议终止后，客户应立即停止使用服务，并在终止之日起三十（30）日内从服务中提取所有客户数据，除非另有约定。

c) 终止后的效力延续。根据以下条款规定的各方其他权利与义务：1.4 转让限制；1.6 客户数据赔偿；1.7 法律合规；1.9 有限担保；1.11 赔偿；2.7 保密信息；2.8 责任限制；2.10 雇佣人员； 2.11 终止；2.12 审计；及2.15 协议的放弃与可分割性条款所规定的其他权利和义务，在本协议终止后仍继续有效。

2.12. 审计。在向另一方发出合理通知后，且在正常营业时间内，有权对另一方进行审计，以确保其遵守本协议条款。在协议期限内，此类审计在任何十二（12）个月期间内不得超过一次（除非监管机构或适用法律另有要求）。 发起审计方应：(i) 协调双方同意的时间安排每次审计；(ii) 承担自身或聘请第三方审计机构执行审计所产生的全部时间与材料成本；(iii) 遵守另一方合理的安保政策与规程；且审计范围严格限定于本协议条款所涉事项。

2.13. 市场协助。客户同意参与并配合Prevalent开发案例研究，该研究须经客户审核批准后，Prevalent方可用于未来的营销活动。客户同意在事先获得批准的前提下，于未来的销售机会中担任Prevalent的客户参考对象。

2.14. 标题。本协议各章节的标题仅为方便起见而设置，绝不旨在限制或界定本协议的范围及/或解释。

2.15. 弃权与可分割性。除非本协议另有明确规定，任何一方未发出违约通知或延迟行使本协议项下任何权利或救济措施，均不构成对该权利或救济措施的放弃。若本协议任何条款被认定为无效、非法或不可执行，其余条款应在适用法律允许的最大范围内继续有效。

2.16. 不可抗力。若因任何一方无法控制的合理原因导致履行延迟，该方不承担责任。若Prevalent无法履行，则其应在终止合同时按比例退还已收费用，此为Prevalent对此类事件的唯一责任，亦为客户的唯一救济。

2.17. 转让。除一方发生合并或出售其全部或实质上全部资产外，未经另一方事先书面同意，任何一方均不得转让或以其他方式转移其在本协议项下的任何权利、职责或义务。该同意不得无理拒绝。

2.18. 总则。

a) 争议应受特拉华州法律管辖，但其冲突法规则除外。因本协议引起或与之相关的任何诉讼，其专属管辖地为特拉华州纽卡斯尔县；各方放弃就管辖地不便提出任何抗辩。

b) 本协议及其附件构成双方关于服务事项的完整协议，并取代所有先前或同时期的口头或书面沟通、提案、条件、陈述及保证。本协议优先于双方之间任何与服务相关的报价单、采购订单、订单文件、确认函或其他通信中包含的任何冲突或附加条款，即使普瑞维特公司使用此类订单文件进行开票亦然。

附件A

服务级别协议

服务等级简介

本附件A规定了服务商在服务期限内提供服务时必须达到的特定服务水平（"服务水平"）。本附件中"服务商"指Mitratech Holdings, Inc.的子公司Prevalent, LLC，"公司"指您——即上述SaaS订阅协议中指定的客户。

1. 总则

1.1. 测量与报告。

1.1.1. 除非双方另有约定，服务商将根据服务等级标准对其服务实际履行情况进行监控。服务商将提供自动化工具，收集并向公司提供该等工具合理获取的数据，并负责对照服务等级标准衡量服务表现。若服务商未能就任何特定服务等级标准对当月服务表现进行妥善衡量，则构成该服务等级标准在该月的服务等级违约。

1.1.2. 服务提供商将向公司提供一套纸质和电子版报告，用于验证其服务表现及对服务等级的遵守情况。 所有报告的详细佐证信息将以电子表格形式或公司合理要求的其他形式提供。原始数据、详细佐证信息以及服务测量过程中产生或衍生的其他数据均属公司数据，在合同期内公司可随时在线实时访问（在可行情况下）。

2. 定义

本附件A中使用但未定义的所有大写术语均具有协议中赋予的含义。就本附件A而言，下列术语具有以下含义：

2.1. “实际运行时间”指在计划运行时间内，服务实际可供公司或用户（视具体情况而定）进行正常业务使用的累计时长（即实际运行时间 = 计划运行时间 - 停机时间）。若服务能按其预期功能使用，且所需数据库文件和表可访问并包含最新数据，则视为实际可供正常业务使用。

2.2. “可用性”指实际运行时间占计划运行时间的百分比（即可用性百分比 = (实际运行时间) / (计划运行时间) × 100%）。

2.3. “停机时间”指持续超过十分钟（10）的故障。

2.4. “月费”指服务商就特定月份向公司提供的服务所开具的账单金额；若服务商依据更长期限报价，则月费将按该长期限报价的月度比例金额计算。

2.5. “中断”指任何持续五（5）分钟或更长时间的故障，在此期间公司或用户中百分之十（10%）或以上无法访问系统，或其访问系统的能力受到实质性影响（包括因显著登录延迟导致的情况）。

2.6. “服务级别违约”指服务提供商未能达到任何服务级别的行为。

2.7. “计划运行时间”指服务预计可供公司用于正常业务使用的时段（包括每周的具体日期及每日的具体时段）。计划运行时间不包含服务的维护窗口期。

3. 服务级别流程

3.1. 服务等级的重新评估。本附件A第5.1节规定了在合同期内适用的服务等级，但须遵守以下规定：

3.1.1. 此类服务等级对应的数值指标（例如可用性99.8%）将在生效日起三个月后由公司与供应商共同重新评估。此项评估旨在根据供应商在该三个月期间内对相应服务等级的平均表现，确认或调整数值指标。 公司与供应商可于此时协商调整服务等级。

3.1.2. 双方同意，根据上述第3.1A条确认或变更的服务水平，不得低于使用提供服务所采用的系统和环境时，在遵循管理良好的运营中执行类似服务时所采用的实践和标准下，合理且持续可达成的水平。

3.2. 服务等级的增补/修改。双方将通力合作，确定新增服务等级，以实现建立全面服务等级体系的目标，该体系应能对服务提供商履行服务的情况进行公平、准确且一致的衡量。 为响应公司业务需求变化或反映服务变更与演进，公司与供应商应至少每年一次审查评估相关变动，并同意增设或替换新服务等级，以满足合同期内不时重新定义的目标。

4. 服务等级

4.1. 服务提供商必须达到或超过本附件A所述的服务水平，包括第5.1节。

4.1.1. 系统可用性与性能。供应商必须确保系统对用户的可用性与性能，以达到或超过第5.1节规定的服务水平。

4.1.2. 系统容量。服务商必须提供充足的托管容量，以满足第5.1节规定的服务水平、可用性及性能目标。公司将与服务商协作，预测并预判因任何异常事件导致的系统使用量突增——此类事件可能改变常规站点运营中通常观察到的系统使用率。

4.1.3. 响应时间。供应商必须管理设备、带宽及网络响应时间，以达到第5.1节所述的服务水平目标和性能目标。

5. 服务级别默认值

5.1. 补偿额度。服务等级协议（SLA）补偿额度按公司当月应付月费的百分比计算，该月即为服务等级违约发生当月。 若Prevalent未能达到99.8%的服务水平，客户可选择要求按比例退款（替代上述服务抵扣），退款金额将根据未达99.8%服务水平的天数，依据Prevalent销售报价单中列明的年度服务订阅费按比例计算。 退款将于日历季度末支付；此为Prevalent对该服务水平违约的唯一责任，亦为客户的唯一补救措施。

6. 服务等级

6.1. 服务级别：系统可用性。

6.1.1. 服务商将全年365天、每天24小时提供应用服务，可用性达99.8%，但计划内维护除外——此类维护不会在公司正常营业时间内进行。服务商将向公司提供其维护计划，并提前通知公司任何非计划性维护。

6.2. 服务级别：监控与响应时间。

6.2.1. 服务提供商将根据下文详述的严重性等级响应并解决系统故障。每当严重性等级发生变更时，计时器将重新启动。"响应时间"指服务提供商自收到问题报告至开始处理问题的时间。"目标解决时间"指提供临时解决方案或其他解决措施的预估时长。

严重性级别	故障描述	响应	目标分辨率
严重性 1	生产系统已停机，影响所有Prevalent应用程序。	1小时	4小时
严重性 2	能够使用应用程序服务，但公司运营受到严重限制且无任何解决方法。	4小时	1个工作日
严重性 3	在应用程序服务出现故障时仍能正常使用，且故障仅导致轻微的服务中断。	1个工作日	尽快

6.3. 服务级别：安全性。

6.3.1. 物理与技术安全。服务提供商将为应用服务提供适当且充分的物理与技术安全保障，包括但不限于以下内容：

6.3.1.1. 服务提供商应配备能够识别、分类并响应安全事件的代表人员。

6.3.1.2. 服务提供商将根据其常规更新流程，在整个基础设施中实施安全修复。

6.3.1.3. 服务提供商应在收到公司安全经理的请求后，立即关闭系统或其任何与应用服务相关的组件的所有访问权限。

6.3.1.4. 未经本公司事先书面同意，服务提供商不得直接或间接将本协议项下的任何服务、相关支持或其他活动分包、转让、转移、许可或允许至境外（即美国本土、加拿大或英国境外）。

6.3.2. 服务提供商将要求其在履行服务过程中直接或间接使用的所有获准分包商和/或第三方服务提供商（"第三方服务提供商"）遵守本协议的所有要求，包括但不限于协议中规定的公司安全要求。

6.3.2.1. 服务提供商将委托信誉良好且全国知名的独立第三方审计机构，每年进行独立的安全审查与审计，以确保其满足本协议中所有物理和技术安全要求。服务提供商的审计机构将编制书面审计报告，详细说明审计结果。服务提供商不得以明文形式存储或传输公司数据，仅可采用安全加密模式存储和传输公司数据。

6.3.2.2. 服务提供商应在应用程序开发、质量保证、测试及生产环境之间建立并维持职责分离机制。

6.3.3. 安全事件通知。

6.3.3.1. 若Prevalent或客户发现或获知涉及客户数据的安全漏洞或潜在漏洞（"事件"），(i) 该方应立即通知另一方；(ii) 若相关客户数据在漏洞或潜在漏洞发生时由Prevalent或分包商持有， 普瑞维伦应在发现或获知后立即（但不得迟于72小时内）(A) 调查并修复该安全事件或潜在安全事件的影响；(B) 向客户提供相关信息，并在调查期间与客户协调配合； (ii) Prevalent同意在客户认定有必要开展自主调查时予以合理配合；(iii)向客户提供其合理满意的保证，确认该违规或潜在违规已得到补救。Prevalent将就受影响个体的通知事宜与客户充分协作。

6.3.4. Prevalent实施全面的备份与恢复流程。具体而言，系统每24小时执行一次数据快照（"快照"），并将这些快照存储14天。

6.3.5. 安全审计存储库。服务提供商将以下信息记录到安全审计存储库中：

• • • 任何操作系统补丁或操作系统配置变更，以及执行这些操作的用户和IP地址；
    • 账户创建、删除及修改（操作系统而非应用程序）；
    • 访问数据失败；
    • 登录失败；
    • 服务器的启动/停止；以及
    • 防火墙配置文件的变更。

附件B

主流平台软件服务说明

Prevalent平台是一款软件即服务（SaaS）解决方案，可自动化处理供应商风险管理流程中的多项任务，包括证据收集、证据风险分析、邮件通知及日程安排。该平台为安全、合规及风险管理专业人员提供了一个管理和自动化供应商风险评估流程的统一平台。 该平台支持企业依据供应商对组织的重要性或潜在风险程度划分层级进行评估。用户可通过平台建立标准化层级体系、规范化评估工作流、共享评估内容、实施证据收集、风险评分及报告生成。平台对每个供应商独立管理，助力企业精准评估与特定供应商开展业务的影响。 每份Prevalent平台许可证在许可期限内仅允许评估、管理及报告单个第三方供应商。当实体兑换产品许可证后，该实体将触发相应许可费用。

1. 当应用程序中针对实体触发以下任一操作时，该实体的产品许可证即视为已兑换：

(a) 向实体发送调查/日程安排
(b) 代表客户向实体发送调查/日程安排，启动风险运营团队的收集与分析流程
(c) 针对实体导入调查
(d) 针对实体导入风险项目
(e) 针对实体创建风险项目
(f) 针对实体修改风险项目
(g) 向实体发出协议

2. VTM：Prevalent供应商威胁监控（VTM）作为软件即服务（SaaS）解决方案，可帮助企业持续监控关键关系风险领域，包括数据风险、运营风险、财务风险、品牌风险、监管风险及地域风险。采用Prevalent供应商关系管理（VRM）SaaS评估供应商与服务提供商的企业，可选择配置VTM以监控Prevalent VRM识别出的潜在风险领域。 Prevalent VTM将通知相关风险管理人员，以判定该风险是否对组织构成实际威胁。分析涵盖的数据类型包括：外部数据泄露通知、IP信誉数据、已知域名的恶意软件、财务分析、网络钓鱼攻击、监管问题及其他公开信息。每份VTM许可证在许可期限内可监控一家第三方供应商的威胁情报并生成报告。